augustus 2014 jaargang 7
technologie – beheer – security
Interim-manager Rink de Haan over fijne kneepjes van programmamanagement Boardroom spil in strijd tegen cyberrisico’s Big data en dataprivacy
3 Security
WE HEBBEN VEEL GOEDE PRODUCTEN DIE WE U NIET VERKOPEN Bij Enterprise Solutions geloven we niet dat u meer succes heeft als u meer van onze producten koopt. We zoeken samen met u de juiste balans tussen uw ambities, uw bestaande systemen en onze innovaties. Zo kunt u probleemloos blijven ondernemen. Ons glasvezel- en mobiele 4G-netwerk bieden u daarvoor bijzonder veel mogelijkheden. Mag ik u nog meer vertellen?
[email protected] ENTERPRISE SOLUTIONS
Inhoudsopgave
❉
Thema: Security
Security, het thema van dit nummer van TITM, staat prominenter op de agenda van de IT-manager dan ooit. Was informatiebeveiliging voorheen altijd iets ‘wat je nu eenmaal moet doen’ en het terrein van een hoop bangmakerij door leveranciers, nu is het een van de belangrijkste aandachtsgebieden van de IT-afdeling en de CIO-office. Want ‘Everything is connected’ heeft ook zo zijn nadelen.
16
Cyber-espionage as a service
Hoe veilig of onveilig is het Nederlandse deel van cyberspace? In ‘Cyber Security Perspectives 2013’ trekken het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie, politie, TNO en KPN een positieve conclusie. Nederland is een van de veiligste landen op het gebied van cyber-security. Wat niet wil zeggen dat we opgelucht kunnen ademhalen. ➼
16
22
Visie en overzicht gevraagd
Om security-uitdagingen het hoofd te bieden, blijken IT-beheerders met name naar hun management te kijken. Daar moet security nóg hoger op de agenda komen. Terwijl de IT-beheerder het technisch allemaal aan zou moeten kunnen, blijkt hij in de praktijk vooral naar zijn manager te kijken als het om beslissingen over securitymanagement gaat. Wat moeten IT-managers weten, om hun personeel beter te kunnen aansturen op dit vlak? ➼
26
Boardroom spil in de strijd tegen cyberrisico’s
Dat cybersecurity veel aandacht van bedrijven en overheden eist, is een understatement. In de praktijk blijkt het lastig om digitale veiligheid effectief in te richten. Bijna dagelijks verschijnen er berichten in de media over cyberaanvallen. Louter technische oplossingen en compliance blijken onvoldoende bescherming te bieden. Het nieuwe cybersecurityraamwerk PAS 555 geeft de top van organisaties grip op hun weerbaarheid in de digitale wereld. ➼
22
32
Big data en dataprivacy
Recent hebben meerdere gevallen het nieuws gehaald waarin het gebruik van (big) data en het recht op dataprivacy met elkaar botsten. Aangezien we pas aan het begin staan van grootschalig gebruik van big data, zullen dit soort botsingen voorlopig alleen nog maar toenemen. Want hoe zit het ook alweer met big data en dataprivacy? Over interpretaties, cookies en de Consumer Privacy Bill. ➼
10
Cover: De fijne kneepjes van programmamanagement
10 4 t i j d s c h r i f t
i t
Sturen op een valide businesscase, verankering in de board en een of meer business-changemanagers die zorg dragen voor de uitvoering. Daarmee heb je volgens ervaringsdeskundige Rink de Haan de drie hoofdkarakteristieken van een succesvol programma wel te pakken. Een interview met de bij Eneco, Delta, Nuon, RWE, Stedin en Vattenfall door de wol geverfde interimexecutive over het wel en wee van gedegen programmamanagement. ➼
m a n a g e m e n t
40
Connected enterprise wordt connected business
Hoe belangrijk is het thema connectiviteit voor de IT-manager, vroeg ICT Media-CEO Rob Beijleveld zich retorisch af bij de aftrap van het dit voorjaar gehouden Jaarcongres Connected Enterprise. “Hoe ver gaat de rol van de technologie en de CIO als je het perspectief uitzoomt van applicaties en infrastructuur naar auto’s, vliegtuigen en zelfs vissen? Dankzij de koppeling van informatiesystemen worden nieuwe efficiëntieniveaus aangetikt.” ➼
40
46
Hybride cloud: geen noodoplossing, maar uitgangspunt
Waarom kiezen voor een publieke óf private cloud? Een hybride cloud biedt het beste van beide: de schaalvoordelen van een publieke cloud en de robuustheid en veiligheid van een private cloud. Een onderneming die te maken heeft met big data, internationale uitbreiding of strenge wet- en regelgeving kan haast niet meer om een hybride cloudarchitectuur heen. Welke voordelen biedt deze architectuur? ➼
52
Enterprise cloud computing voor DevOps-omgevingen
46
DevOps, een samenvoeging van software-‘developer’ en system‘operator’, staat bij bedrijven steeds vaker op de agenda. Ze zien deze ontwikkelmethode, waarbij op een agile manier nieuwe code wordt geschreven, als middel om de efficiëntie te verbeteren en de time-to-market te versnellen. De bekendheid van DevOps groeide tijdens de economische recessie. Werken in de cloud blijkt een goede zet voor DevOps-omgevingen. ➼
Inhoud Thema: Security
Cyber-espionage as a service Visie en overzicht gevraagd Boardroom spil in strijd tegen cyberrisico’s Big data en dataprivacy
16 22 26 32
Redactioneel Kort nieuws Column: Arjan Zwanenburg Research
7 8 14 21
Rubrieken
Ik en mijn klant Overview
30 59
Vak
De fijne kneepjes van programmamanagement Augmented reality vereenvoudigt beheer Hoe veilig is data in de cloud? Hybride cloud: noodoplossing of uitgangspunt? Enterprise cloud computing voor DevOps-omgevingen
Verslag
Connected enterprise wordt connected business Rondetafel: Contentdistributie en security Rondetafel: Connected business
a u g u s t u s
10 35 36 46 52 40 48 54
2 0 1 4
5
Koester uw dienstverlening Uw hele ICT-proces op orde met TOPdesk
Met TOPdesk heeft u alles in huis om incidenten, wijzigingen
vernieuwde Contractbeheer en SLM (Service Level Management)
en operationele taken razendsnel af te handelen. Bovendien
helemaal zelf uw producten- en dienstencatalogus inrichten,
is TOPdesk de enige tool die ICT, FM en HRM perfect integreert.
beheren en toezien op de naleving. En behandelaars op
U hoeft alle informatie slechts op één plek te beheren, terwijl
locatie kunnen met TOPdesk Mobile taken inzien en ter plekke
elke afdeling zijn eigen veilige werkomgeving behoudt.
incidenten aanmaken.
Met de nieuwste versie van TOPdesk profiteert u van
Meer weten?
functionaliteiten die uw werk eenvoudiger maken. U kunt in het
Bezoek www.topdesk.nl/it
Service Management Simplified
van TITM
Het kan geen kwaad Security staat centraal in dit nummer van TITM. Er wordt steeds meer geschreven over het onderwerp dat verlost lijkt te zijn van een imago dat nog het meest leek op ‘elk halfjaar voor controle naar de tandarts’. Iedereen vond informatiebeveiliging een verstandige activiteit, maar om nou te zeggen dat men zich er graag in verdiepte... nee. Hiermee wil ik niet beweren dat securitymanagement opeens een populaire bezigheid is geworden. Maar actueel is het wel! Er zijn niet zoveel mensen meer die het een saai onderwerp vinden – misschien is dat het verschil. Nu we toch met z’n allen zo bezig zijn met het onderwerp, wordt het wel tijd voor wat serieuze informatie-uitwisseling. Nog steeds is het zo dat we het moeten doen met een vaag bericht over een DDoS-aanval als de website van onze bank er uren uitligt. Ik begrijp wel dat het de consument worst zal wezen wat de oorzaak van het uitvallen is, maar de vakpers en de meeste securitymanagers in het bedrijfsleven en bij de overheid zouden graag wat meer weten. Wat is de herkomst van de aanval? De motieven ervoor? In hoeverre lukte het de aanval op te vangen? Wat kunnen we leren? Securitymanagement mag dan van z’n saaiheid zijn verlost, er hangt nog steeds een grauwsluier van geheimzinnigheid omheen. Een inbreuk op de beveiliging wordt nog altijd als een schande gezien. Niet alles hoeft aan de grote klok, maar een dosis transparantie kan geen kwaad. Een kennismonopolie van een beperkt aantal experts is in niemands belang. We willen leren! Een belangrijk fenomeen in dit verband is de securitystandaard PAS 555, die zich vooral richt op de governance en het management van informatiebeveiliging. In het artikel ‘Boardroom spil in de strijd tegen cyberrisico’s’ van Natasja Stet, elders in dit nummer, wordt mooi uitgelegd waarom dit zo belangrijk is.
“Cybersecurity draait niet alleen om technologie en het afvinken van checklists. [...] Effectieve cybersecurity is alleen te bereiken als de complete bedrijfsvoering gericht is op het voorkomen van cyberincidenten. Het gaat ook over governance, leiderschap, cultuur, bewustzijn, gedrag, fysieke veiligheid, intelligence, onderzoek, detectie, respons en herstel na een incident. Dit alles binnen de organisatie en in relatie met leveranciers, partners en klanten. Die integrale aanpak is wat bij veel organisaties momenteel nog ontbreekt.” “De Cyber Alliance, met bedrijven als Cisco, Symantec en PA Consulting Group, pakte de handschoen op om alle dimensies van cybersecurity vast te leggen in een nieuw, overzichtelijk cybersecurity raamwerk. Het resultaat is de PAS 555 Cyber security risk – Governance and management-standaard van het Britse Standards Institute (BSi), die inmiddels ook door de Nederlandse Cyber Security Raad wordt aanbevolen.” Graag maken we in komende nummers van TITM ruimte om de ervaringen met PAS 555 te delen. Transparantie kan geen kwaad!
❉
Arnoud van Gemeren (
[email protected]), hoofdredacteur Tijdschrift IT Management
a u g u s t u s
2 0 1 4
7
kort nieuws
door informatie over voorgenomen overnames, of kwartaal- of jaarcijfers naar buiten te brengen.
Olaf Kolkman wordt nieuwe CITO Internet Society
Cybercrime remt wereldeconomie
De schade van online criminaliteit loopt in de honderden miljarden, zo blijkt uit onderzoek door het Amerikaanse Center for Strategic and International Studies (CSIS). CSIS concludeert dat de wereldwijde schade ongeveer 327 miljard euro bedraagt. Voor West-Europa komt het bedrag op bijna 53 miljard euro, wat men omrekent in 150.000 niet-gecreëerde banen. Cybercrime heeft een negatief effect op handel, concurrentievermogen, innovatie en economische groei. Voor Nederland komt de jaarlijkse schade uit op ruim 8 miljard euro. Vooral op het gebied van intellectueel eigendom zijn de gevolgen van cybercriminaliteit groot. Organisaties hebben op verschillende manieren te lijden onder cybercriminaliteit. Zo ontdekte een Europees bedrijf tijdens de onderhandelingen over een contract dat de andere partij al precies wist wat zijn ondergrens was. Een ander gebied waar cybercriminelen zich op richten, is het gebruik van gestolen bedrijfsinformatie om beurskoersen te beïnvloeden bijvoorbeeld
De Nederlander Olaf Kolkman, CEO van de non-profitorganisatie NLnet Labs, gaat het leidinggevende team van de Internet Society (ISOC) versterken. Hij wordt verantwoordelijk voor strategische initiatieven die te maken hebben met de evolutie en verdere ontwikkeling van internet. Kolkman was eerder voorzitter van de Internet Architecture Board, draagt actief bij aan de Internet Engineering Task Force (IETF), heeft vele RFC’s op zijn naam staan en hij vertegenwoordigde de technische internetgemeenschap in zijn diverse rollen op internetgovernancefora wereldwijd. Kolkman begint bij ISOC op 14 juli 2014. Hij blijft tegelijkertijd CEO van NLnet Labs, dat zich bezighoudt met de ontwikkeling van nieuwe internetprotocollen.
De keuze voor het nieuwe datacenter viel op Rotterdam vanwege de aanwezigheid van veel grote nationale en internationale bedrijven in de regio en de gunstige ligging ten opzichte van BT’s eigen netwerk en de datacentra in Amsterdam en Nieuwegein. Hierdoor ontstaat een dual datacenterconcept, wat belangrijk is voor de toegang tot en continuïteit van kritieke bedrijfsapplicaties en -data. Het datacenter voldoet aan de Europese datacenter-energiegedragscode.
BT opent derde Nederlandse datacenter in Rotterdam
BT heeft sinds kort een derde datacenter in Nederland met een serverruimte van 1.200 vierkante meter met een maximaal vermogen van 2.400 kW. Hiermee vergroot BT zijn capaciteit in de Benelux met bijna 50 procent, inspelend op de toegenomen vraag naar cloudgebaseerde diensten. De locatie ondersteunt standaard 6 kW per rack en meer op verzoek.
De failover-veiligheid van het datacenter komt overeen met categorie Tier III+-eisen. Om de maximaal mogelijke failover-veiligheid te bereiken (Tier IV) kunnen IT-applicaties verdeeld worden over andere BT-locaties binnen en buiten Nederland.
In Outsource Magazine “Waar zit de grootste pijn? Bij de homo faber, de werkende mens. We hebben het over voortschrijdende technologie, maar eigenlijk alles gaat over de mens, over u en ik. Mensen worden net zo overbodig als de gedateerde hardware. Ietwat oudere mensen worden geconfronteerd met de technologische ontwikkelingen en zijn gedwongen te veranderen. Sterker, het hele bedrijf wordt gedwongen te veranderen. Maar het vermogen van de homo faber om te veranderen gaat langzamer dan de snelheid van de technologie.” Paul Cornelisse, director bij Metri Group, in Outsource Magazine nr. 1/2014.
8 t i j d s c h r i f t
i t
m a n a g e m e n t
powered by IT-executive.nl
Richtlijn databescherming onbekend
Onderzoek van Trend Micro, leverancier van beveiligingsoplossingen, duidt erop dat vier op de tien bedrijven in de Benelux zich niet bewust is van nieuwe Europese wetgeving voor databescherming. De EU General Data Protection Regulation is opgesteld om één lijn te trekken in de wetgeving over databescherming. Het onderzoek (uitgevoerd onder 850 Europese organisaties, waarvan 100 in de Benelux) toont aan dat slechts 15 procent van de ondervraagde bedrijven in de Benelux weet welke concrete stappen er moeten worden genomen om te voldoen aan deze wetgeving. Slechts de helft denkt dat het realistisch is om te voldoen aan deze nieuwe wetgeving. De respondenten gaven daarnaast aan dat ze verwachten gemiddeld twee jaar nodig te hebben om conform de wetgeving te opereren. Een kwart van de respondenten laat weten niet op de hoogte te zijn van boetes die betaald moeten worden als niet voldaan wordt aan de wettelijke eisen.
Toepassing ‘Lean’ in IT-partnerships
Lean production, de methode die het realiseren van maximale waarde nastreeft met zo min mogelijk verspilling, is al decennia in gebruik in sectoren als de automobielindustrie, waar het zijn oorsprong heeft. Pas de laatste jaren heeft Lean de aandacht van de IT-dienstensector. Recent verscheen het boek Lean IT-Partnering met wetenschappelijk onderzoek en
Bedrijven zijn terughoudend om cloudservices volledig te omarmen, hoewel 83 procent van de respondenten back-ups van hun bedrijfsgegevens in de cloud opslaat. Van de bedrijven die gebruikmaken van een oplossing voor cloudopslag gaf iets meer dan twee derde aan dat hierbij sprake is van vertrouwelijke praktijkcases. In het boek wordt de eerste multi-clientstudie over Leanpartnering in IT-services beschreven. “Door problemen in de samenwerking tussen klant en leverancier stagneert het implementeren van de Lean-filosofie in organisaties”, zegt prof. dr. Han van der Zee, auteur van het boek en hoofd van het researchcluster ‘Lean Transformation with and in IT’ van het Lean Education & Research Network (LEArN) aan Nyenrode Business Universiteit. “Steeds meer IT-toeleveranciers en gebruikers van IT-services onderkennen het belang van Lean en gaan er strategisch mee aan de slag. Er waren echter weinig succesvolle voorbeelden beschikbaar van toepassing van Lean in IT-partnerships. Dat leidt tot de ‘Lean IT-partnering paradox’. Dit boek onderzoekt deze paradox en biedt referenties naar praktijkvoorbeelden en onderzoek.”
Beveiliging topprioriteit voor cloud
Een op de vijf bedrijven ondervindt problemen met zijn aanbieder van cloudopslag - denk aan gegevensverlies en gebrekkige beveiliging - zo blijkt uit een wereldwijde enquête door leverancier Barracuda Networks.
gegevens. Desondanks heeft 16 procent van de respondenten problemen ondervonden met zijn cloudaanbieder. 42 procent van de respondenten constateerde dat de gegevens die zij bij hun leverancier onderbrachten niet afdoende waren beveiligd, 40 procent gaf aan dat gegevens in de cloud niet toegankelijk waren toen zij die nodig hadden en meer dan een derde meldde zelfs dat hun cloudaanbieder gegevens was kwijtgeraakt.
and •v e
maand
nd •va e
“Portfoliomanagement wordt vaak knullig gedaan. Op basis van een businessplan wordt een jaarplan met IT-projecten gemaakt. Maar in 90 procent van de gevallen is een portfolio niet gedekt door het budget. Met andere woorden: de meeste bedrijven kunnen geen echte prioriteiten stellen.”
maand
quote
Interim-manager Rink de Haan, in het coverinterview elders in dit nummer.
a u g u s t u s
2 0 1 4
9
interview
10
t i j d s c h r i f t
i t
m a n a g e m e n t
van onze redactie | Fotografie: Roelof Pot
Rink de Haan, interim-CIO en partner IXM Group
De fijne kneepjes van programmamanagement Sturen op een valide businesscase, verankering in de board en een of meer business-changemanagers die zorg dragen voor de uitvoering. Daarmee heb je volgens ervaringsdeskundige Rink de Haan de drie belangrijkste kenmerken van een succesvol programma wel te pakken. Een interview met de bij Eneco, Delta, Nuon, RWE, Stedin en Vattenfall door de wol geverfde interim-executive over het wel en wee van gedegen programmamanagement.
“J
e hebt eigenlijk twee benaderingen van programma’s”, zegt De Haan. “Soms gaat het om een samenhang van tientallen projecten en een groot budget. Er zijn maar heel weinig organisaties die het zo insteken. Je moet namelijk echt goede redenen en uitgangspunten hebben om iets onder een dergelijk grote vlag te doen. De tweede benadering ligt meer in de lijn van MSP (managing successful programs, red.). Daarbij wordt businesscasegedreven gewerkt en is een grote rol weggelegd voor de business-changemanagers, die tevens verantwoordelijk zijn voor het realiseren van de benefits. Hier is de uitdaging dat veel organisaties niet volwassen genoeg zijn om prestatiegedreven te werken. Het is bovendien persoonsgebonden, veel businessmanagers zijn niet geschikt of getraind voor zo’n voortrekkersrol.” Echt goede projectmanagers vormen volgens Rink de Haan een belangrijke basisvereiste voor een succesvol
programma. Maar een echt cruciale voorwaarde is commitment van de top. “Die staat standaard in alle lijstjes, maar het is zelden de realiteit”, aldus de bij een groot landelijk opererend installatiebedrijf werkzame interim-CIO van de IXM Group. Bij de IT-splitsing van een van de grote Nederlandse energiebedrijven, waarvoor hij als programmamanager verantwoordelijk was, was dat destijds wel het geval. “Alles klopte daar: het commitment, de kwaliteit van de organisatie, inclusief een goed ontwikkelde IT met goede mensen, processen en procedures.”
Terminologie
Een graadmeter voor succes of falen is de terminologie: wordt er bijvoorbeeld nog gesproken over business- óf ITprojecten, dan is er meestal ellende te verwachten. Het gaat namelijk om een evenwicht tussen deze twee dingen; vanuit een jaarplan moeten zowel businessdoelstellingen als projecten wor-
den geformuleerd die waarde toevoegen aan het bedrijf. De Haan: “Daar zit veelal een belangrijke IT-component in, wat het tot een gedeelde verantwoordelijkheid maakt. Nogmaals: je moet changemanagers in de business hebben die zich verantwoordelijk voelen voor het realiseren en monitoren van de beoogde benefits. Dat maak je zelden mee. Meestal wordt de businesscase slechts gebruikt als legitimering voor de start van een project.” Een andere graadmeter is de rapportagelijn. “Bij een IT-afdeling die onder de CFO hangt, is er vaak een duidelijke risicofactor voor succesvolle ITprojecten. Kort door de bocht: kosten kunnen daar de primaire drijfveer zijn en niet de businesswaarde. Veel CIO’s voelen zich onder de CFO terecht niet op hun plek. Ook dat is een kwestie van volwassenheid: organisaties die nog in dergelijke lijnen denken, doen zichzelf tekort omdat er altijd wel iets suboptimaal is ingericht.” Rink de Haan illustreert de mismatch
a u g u s t u s
➼
2 0 1 4
11
interview
qua verantwoordelijkheden en visie met een ervaring uit zijn eigen verleden. “Als je een CEO of CIO vraagt naar de karakterisering van een netbeheerder, dan zul je al snel horen dat het gaat om een IT-gedreven organisatie. Dat heeft niet alleen te maken met de primaire processen en dienstverlening, maar bijvoorbeeld ook met het meer klantgericht en selfservice maken van zulke organisaties. De businessstrategie vraagt om een hiermee corresponderende IT-strategie, geen IT die slechts faciliteert.”
Track-record
Rink de Haan heeft een omvangrijk track-record in de energiesector. Na eerder als consultant en projectmanager te hebben gewerkt werd hij kort na de eeuwwisseling IT-baas bij het backofficebedrijf van het Utrechtse energiebedrijf REMU. Daar kreeg hij de kans om de IT-afdeling helemaal vanaf scratch op te bouwen: “In 2002 werden we door Eneco overgenomen. Als overgenomen partij word je normaal gesproken opgerold, geknipt en geschoren. Maar het leuke was dat de echte asset in onze IT-organisatie zat. Tot 2006 heb ik de REMU en Eneco-IT geïntegreerd binnen de club die ik zelf had opgezet. Dat traject had alles in zich: strategie, lijnmanagement, het begeleiden en opleiden van mensen, harmonisering van processen. Omdat we ook nog volop in de derde fase van de liberalisering zaten, kwam alles samen.” Na Eneco begon hij voor zichzelf. “Ik begon als transitiemanager binnen een uitbestedingstraject van Delta Energie naar Atos. Een machtig werkgebied, waarin je veel kunt leren. Zo is mij gebleken dat je als organisatie ontzettend goed moet zijn om te kunnen outsourcen. Meestal is het een CFO-gedreven ding, waarvoor men bij onvoldoende voorbereiding de rekening gepresenteerd krijgt. Begin 2008 kwam ik bij een ander groot energiebedrijf terecht. Na zes maanden gewerkt te hebben als interim-manager van de projectenafdeling, heb ik daar met succes de basis gelegd voor de IT-splitsing van dat bedrijf. Een megaprogramma met zeventig deelprojecten en een totaal budget van vele miljoenen, dat in twee jaar op tijd, binnen budget en on-scope is afgerond. Dat is een van de mooiste dingen die ik gedaan heb. Vervolgens
12 t i j d s c h r i f t
i t
heb ik projecten uitgevoerd bij de internationale trade-afdeling van een groot Duits energiebedrijf, en een aantal ERP-implementaties bij een Nederlandse netbeheerder en een internationale energiereus. En nu dus een interimCIO-functie in de installatiesector.”
verbonden zijn met de dagelijkse IT-voorziening en bijbehorende uitdagingen.” Hardop denkend: “Je zou dit kunnen oplossen door onder een CIO een IT-directeur neer te zetten; maar dat doorkruist weer de gedachte van de korte lijnen.”
Hoofdkarakteristieken
“Een IT-afdeling die onder de CFO hangt, is vaak een risicofactor voor IT-projecten” Bestuursniveau
De Haan beaamt op basis van zijn ervaringen dat programmamanagement vanuit het bestuur geredeneerd vaak een gedelegeerd onderwerp is. Niet de CIO maar de programmamanager doet de klus. Toch valt of staat een grootscheeps traject met de actieve betrokkenheid van het bestuur. “Programma’s doe je per definitie niet voor heel kleine dingetjes. De hoofddoelstelling is de diverse businesscases en bedrijfsstrategieën zo goed mogelijk te realiseren. Dat kost veelal veel geld, veel tijd en heeft een grote impact. Dat krijg je niet voor elkaar als je het te laag in de organisatie belegt.” “Mijn voorlaatste programma bij een groot internationaal energiebedrijf betrof het centraliseren van het ERP-systeem voor de gehele groep”, vervolgt de interim-CIO. “Daarbij waren net als bij het IT-splitsingsproject volop bedrijfspolitieke hobbels te overwinnen. Dat kan alleen bij een goede verankering op bestuursniveau; een strategisch commitment dat bovendien operationeel gemaakt moet worden, met een van de CxO’s als voorzitter van de stuurgroep.” De Haan gelooft daarbij niet in een CIO als enige verantwoordelijke voor de IT-strategie. “Een CIO moet zich vooral verantwoordelijk voelen voor de operationele IT. Ik geloof niet in CIO’s die met vijf stafmedewerkers in het hoofdkantoor zitten en vanaf afstand oordelen over budgetbeperkingen en dergelijke. Je moet direct
m a n a g e m e n t
Sturen op een valide businesscase, verankering in de board en een of meer business-changemanagers die zorg dragen voor de uitvoering: dat zijn de drie belangrijkste kenmerken van een succesvol programma. “Het is in hoofdlijnen een strategisch verhaal, maar op projectniveau zullen operationele aspecten altijd een rol spelen. Waar een project echter eindigt wanneer het is opgeleverd, stopt een programma niet wanneer het project is afgerond. Het is klaar wanneer de benefits gerealiseerd zijn.” “Ik heb hier een regelkring voor ontworpen”, vervolgt De Haan. “Stel dat de businesscase het efficiënter definiëren en inrichten van de processen is, en wel zodanig dat er minder mensen voor nodig zijn. Wat je meestal ziet, is dat die mensen vervolgens de organisatie niet uitgaan. Bij mijn laatste programma’s hebben we de ontwerpen laten toetsen, om voortijdig te beoordelen of de efficiencyslag in het proces daadwerkelijk kon worden gemaakt, zodat deze kon worden afgetekend door de business-changemanager. Dat laatste betekent een enorme steun in de rug voor de project- of programmamanager.”
Methodiek
Een van de kernvoorwaarden bij grote programma’s is het op orde hebben van de controlemechanismen: financiële rapportages, de uren die mensen factureren en een goede inschatting. “Een estimate to complete is het doelbedrag minus de uitgave. Aan zo’n ETC heb je feitelijk niet veel. Natuurlijk moet je weten wat je budget en de spend zijn. Maar het is vooral belangrijk dat je daadwerkelijk weet wat er moet gebeuren. Mijn ervaring is dat het project vaak uit de bocht vliegt. Het valt voor projectleiders namelijk niet mee om een goede breakdown te maken van alle benodigde effort. Het selecteren van de juiste projectleiders die hierin mee kunnen komen, is dan
ook niet zo makkelijk. Certificering zegt ook niet zo veel, het is veel meer een persoonlijkheidskwestie.” Verder is het in De Haans ogen zowel een voordeel als nadeel als projectleiders heel erg in de materie zitten. Als je er niet boven kunt staan, ben je een risicogeval. “Mensen worden dan een onderdeel van de discussie in plaats van deze te drijven. Kortom: je moet als projectleider heel erg gericht zijn op geld, tijd en kwaliteit. Ja, het gaat om de functionaliteit, maar vooral om taaken resultaatgedrevenheid. Dat type projectmanager is dus schaars, en soms moet je binnen grote programma’s mensen gewoon durven vervangen.” Van ondersteunende tooling verwacht de interim-CIO weinig. “Ik ben er eens heel onaangenaam door verrast bij een van mijn grootste programma’s. Het project was zes maanden in voorbereiding geweest en er was een heel team van consultants betrokken dat via Microsoft Projects de planning had gedaan. Dat leverde over tientallen deelprojecten een muur vol zwarte lijntjes op. Toen ik op een gegeven moment de vraag stelde waar we precies stonden, kon men het antwoord niet geven. Een van de belangrijkste stuurelementen bij een groot programma is het kritieke pad: de kruisende lijnen en
afhankelijkheden tussen deelprojecten. Je moet zeker weten dat die grote trein langs geweest is als die andere eraan komt. Ik denk dat tooling vooral handig is op dat bewuste niveau.”
Verder moet de rest van de basis op orde zijn: een heldere scopedefinitie, een topteam en een wisselwerking tussen business en IT. Het draait ook om de juiste partnerkeuze. Zo is het
Voorwaarden
Andere voorwaarden voor succes zijn een PMO en wat hij een solution architecture team noemt. “In een project worden issues veelal laat ontdekt en blijven ze bovendien te lang binnen het project hangen, terwijl het projectteam niet in staat is om zo’n noot te kraken. Daarvoor is een superspecialist nodig, iemand die boven de materie kan staan. Deze mensen kunnen in een vroeg stadium issues identificeren op het gebied van zowel business als harde IT. Het is een soort bezemwagen die vooruit rijdt, of beter: een mijnenveger.” Naast de businesscase is gedegen portfoliomanagement fundamenteel. “Ook dat wordt vaak knullig gedaan. Op basis van een businessplan wordt een jaarplan met IT-projecten gemaakt. Maar in 90 procent van de gevallen is een portfolio niet gedekt door het budget. Met andere woorden: de meeste bedrijven kunnen geen echte prioriteiten stellen. Terwijl het ongelooflijk veel rust geeft als je dit goed geregeld hebt.”
“Het selecteren van projectleiders die mee kunnen komen, is niet zo makkelijk” niet altijd productief om een consultancypartij in huis te halen. Hetzelfde geldt voor uitbesteding en offshoring. De Haan: “Ik sta er niet negatief tegenover, want ik begrijp best dat niet iedere organisatie een eigen IT-team kan hebben. Maar ik ben er ook geen overtuigd voorstander van omdat ik althans bij de grotere partijen nooit de kwaliteit ben tegengekomen die we mochten verwachten. We doen ook onszelf als land en bedrijven tekort door bepaalde kennis niet in ons domein te hebben.”
a u g u s t u s
❉
2 0 1 4
13
column Arjan Zwanenburg
Arjan Zwanenburg is Service Delivery Manager Business Services bij ABN AMRO. Deze column bevat zijn persoonlijke observaties over application delivery, maar ook over de rol van IT in een grote organisatie en de ins & outs van ‘het IT-manager zijn’.
De autoband aan het touw… IT is inmiddels een dusdanig belangrijk onderdeel in de bedrijfsvoering van menig onderneming, dat zij niet meer als ondersteunende dienstverlening kan worden afgedaan. De CIO heeft zijn plaats in de boardroom gevonden en spreekt daar als volwaardig partner met de businessvertegenwoordigers over de in te vullen strategie voor de toekomst. De business onderkent de rol van IT inmiddels ook en ziet steeds meer de toegevoegde waarde van de kennis binnen de IT-afdeling over het bedrijfsproces en de manier waarop dit vanuit IT zo optimaal mogelijk ondersteund kan worden. Maar we zijn er nog niet! We kennen allemaal de cartoon van de autoband aan het touw aan de boom. (Niet bekend? Kijk dan hier: http://bit.ly/1hD4zW6.) Marketing, management, architecten en ontwikkelaars hebben allemaal zo hun perceptie van wat er wordt gevraagd, maar de verschillen met wat de klant wil kunnen hemelsbreed zijn. Wat de klant nodig heeft, is niet altijd wat hij vraagt, laat staan wat de ontwikkelaar begrepen heeft van de werkelijke klantbehoefte. In zulke gevallen worden allerlei luxe variaties ontworpen. Daarna worden allerlei voor het uiteindelijke doel onnodige beheereisen opgesteld en ingevuld. De klant zit met een te duur systeem en IT begrijpt niet waarom er toch nog geklaagd wordt na alle inspanningen om het mooist mogelijke product op te leveren. Dit schrikbeeld kan vandaag de dag worden voorkomen door IT en business samen in de stuurgroep te zetten die van meet af aan de businessbehoefte onderzoekt en vanaf het begin rekening houdt met de servicelevels die na oplevering waargemaakt moeten worden. Men leert elkaars taal spreken, men leert elkaar begrijpen en men leert anticiperen op de behoefte van de partner. Het samen optrekken ten tijde van opbouw en implementatie zorgt vervolgens ook voor een goede samenwerking in tijden van crisis als de productie even faalt. Er is gezamenlijk voor de applicatie gekozen, er is samen aan de implementatie gebouwd en er wordt dus ook samen aan het oplossen van het issue gewerkt. Niet alleen de techniek van de onderliggende IT wordt als boosdoener gezien, ook opleiding en begeleiding van gebruikers en het businessprocesmodel kunnen als veroorzakers worden gezien van de onderhavige problemen. Als voorbeeld hiervan kan een marketingafdeling graag zien dat veel meer gegevens van een klant worden vastgelegd om later gerichter te kunnen aanbieden, maar de extra invoer kost de gebruiker veel meer tijd. Nu is de operationele afdeling tegelijk de efficiency aan het verhogen en verwacht zij van dezelfde medewerker dat hij veel meer klanten in dezelfde tijd afhandelt. IT kan het systeem optimaliseren, maar uiteindelijk wordt de tijd per klant bepaald door de tijd die nodig is om alle extra gegevens te verzamelen en in te voeren. De veranderingen in de relaties tussen business en IT maken deze bedrijfsonderdelen tot gelijkwaardige partners in de strijd om de gunsten van de klant. Een belangrijke wijziging in de bedrijfsvoering die vanuit beide partijen wordt omhelsd, omdat we uiteindelijk krijgen wat we werkelijk wilden: een autoband aan een touwtje in de schaduw van de boom om lekker van de vruchten van onze samenwerking te genieten…
14
t i j d s c h r i f t
i t
m a n a g e m e n t
❉
TOM AWARDS 2014 W I L L Y O U B E O N S TA G E T H I S Y E A R ?
THE WINNERS OF 2013 ARE:
• Eric Overvoorde, RoyalHaskoningDHV • Robeco • Tata Consultancy Services • KPN IT Solutions, Ministerie van OCW en datacenter ODC Noord TOMMIES motivate to bring sourcing to a higher level Strategic sourcing is at its crossroads. Enterprise and government are ready for a move to get more value out of sourcing relationships. Sourcing executives have to challenge their counterparts to move from cost savings to business value! To stimulate and motivate, Outsource Magazine has introduced the TOMMIE Awards: for sourcing leaders, companies and providers that go on where others stop....
Starts at July 1st
The TOMMIES demonstrate the power of strategic sourcing! Categories: • The Most Inspirational Sourcing Leader • The Most Successful Company in Sourcing • The Most Innovative Sourcing Vendor If you want to take a chance for this award please send your motivation in 50 words to
[email protected] www.omdinershow.nl/Tommies
thema security
16 t i j d s c h r i f t
i t
m a n a g e m e n t
van onze redactie
Cybersecuritytrends 2014
Cyber espionage as a service Hoe veilig of onveilig is het Nederlandse deel van cyberspace? In het ‘Cyber Security Perspectives 2013’ trekken het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie, politie, TNO en KPN een positieve conclusie. Nederland is een van de veiligste landen op het gebied van cybersecurity. Toch valt er nog een hoop te winnen. Wat zijn de trends voor 2014 en hoe staat ons land ervoor?
D
e genoemde partijen brengen voortaan jaarlijks onder leiding van het NCSC (Nationaal Cyber Security Centrum) de stand van zaken in Nederland en trends in kaart. De instanties die zich bezighouden met onze verdediging tegen cyberterroristen hebben het druk gehad in 2013. Een groot aantal incidenten haalde het nieuws, maar de meeste events werden ongemerkt gestopt. Zo heeft de High Tech Crime Unit van de politie vijftien zware gevallen van hightech-crime aangepakt in 2013. Daarnaast vormt deze unit, die inmiddels uit negentig medewerkers bestaat, het 24 uur per dag bereikbare contactpunt voor alle 41 landen die de Budapest Convention on Cybercrime hebben ondertekend.
Trends met impact
Volgens onderzoekers van TNO zijn er vijf securitytrends die in 2014 (en daarna) impact zullen hebben op Nederland – al kent cybercrime geen landsgrenzen.
Trend 1: Iedereen kan het Technische skills zijn niet langer een vereiste voor het kunnen uitvoeren van een cyberaanval. Tegenwoordig kan je online hackservices aanschaffen, een hacktoolbox of een plug & play usb-stick, inclusief online support. Nu elke willekeurige crimineel in spe zou kunnen hacken wanneer hij wil, verwacht men een toename van het aantal mainstream aanvallen. Het is dus belangrijk om daartegen beveiligd te zijn, want ook een klein bedrijf kan voor 10 dollar per uur een DDoS-attack (denial of service) inzetten om de website van de concurrent plat te leggen. Verleidelijk, want het is goedkoper dan een reclamecampagne. Trend 2: Doelgericht en dichter bij huis Mainstream technieken voor het uitvoeren van cyberaanvallen zijn overal verkrijgbaar, maar de bescherming hiertegen gelukkig ook. Preventie
Een DDoS-aanval op de concurrent is goedkoper dan een reclamecampagne tegen provisorische aanvallen is bij de meeste organisaties goed ingeregeld. Er blijken echter steeds meer zeer getalenteerde hack-professionals te zijn, die snel grote sprongen maken in kennis én zich bovendien steeds verder
Nederlandse accountgegevens buitgemaakt in Duitsland De Duitse overheid heeft begin april 2014 bekendgemaakt dat zij 18 miljoen accountgegevens – bestaande uit emailadressen en wachtwoorden – van bedrijven en burgers heeft bemachtigd, die door cybercriminelen waren buitgemaakt. Hierbij zijn ook Nederlandse accountgegevens aangetroffen. Via een speciale website kunnen gebruikers nu controleren of hun gegevens zijn buitgemaakt. Het Nationaal Cyber Security Centrum (NCSC) heeft gecontroleerd of er in de buitgemaakte gegevens accountgegevens van organisaties in haar doelgroep, rijksoverheid en vitale sectoren, voorkomen. Getroffen organisaties zijn door het NCSC geïnformeerd. Bij de controles is gebleken dat ook oudere gegevens deel uitmaken van de gestolen combinaties. Dat maakt de kans kleiner dat criminelen er iets mee kunnen, omdat wachtwoorden in de tussentijd al zijn gewijzigd. Bij veel organisaties is het immers verplicht om regelmatig het wachtwoord aan te passen. Ook zijn medewerkers bijvoorbeeld al uit dienst of worden domeinnamen niet meer actief gebruikt. Wie wil controleren of zijn gegevens zijn gevonden in deze dataset surft naar: https:// www.sicherheitstest.bsi.de/index_en.
organiseren. Het afgelopen jaar zagen de afzenders van het Cyber Security Perspective een flinke toename van complexe, doelgerichte aanvallen op ict-systemen en -infrastructuren die zeer moeilijk te detecteren en mitigeren waren. Ook APTs (advanced persistent threats) gericht op het verkrijgen van vertrouwelijke data, dus cyberspionage, komen vaker voor. Hierbij
a u g u s t u s
➼
2 0 1 4
17
thema security
Cyber security events 2013 Internationaal waren het lekken van de Snowden-files en het bespioneren van Belgacom door de UK groot nieuws. Wat speelde er in Nederland? De Cyber Security Perspective publiceerde een overzicht, waar TITM de ‘wel in mijn achtertuin’-events uitlicht. • De overheid moest DigiD-authenticatie offline halen door een lek in het developmentplatform (Ruby on Rails). • KPN ontving van onafhankelijke security-researchers een document met de kwetsbaarheden van Zyxel-modems. • Nederlandse tieners zetten spyware op de laptops van hun leraren. • Grootschalige DdoS-aanval op Nederlandse banken legde het online betaalverkeer plat. • Criminele organisatie opgerold die zeecontainers stal door middel van hacktechnieken als malware, phishing en keyloggers. • Het beheernetwerk van KPN bleek toegankelijk via een vergeten netwerkkabeltje. • Volgens de overheid zijn Nederlandse telecomproviders ‘waarschijnlijk niet’ gehackt door de NSA. • Nederland gaat 150 cybersecurityreservisten rekruteren die inzetbaar zijn bij urgente digitale dreigingen. • Rotterdamse rechercheurs arresteerden een 18-jarige die waarschijnlijk duizenden privécomputers heeft gehackt. • Tussen januari en september 2013 zijn er 39 grote DDoS-aanvallen geregistreerd door het NCSC. • Antivirusleveranciers melden dat van heel Europa Nederland het zwaarst geraakt is met ransomware-aanvallen.
worden verschillende hacktechnieken, -methoden en -kanalen gecombineerd. Bijvoorbeeld een cocktail van social engineering, malware, zero day exploits, slecht gepatchte systemen, zwakke wachtwoorden en onvoldoende dichtgetimmerde websites. Trend 3: Cyberspionage in de spotlights Cyberspionage was de laatste tijd al veel in het nieuws en de verwachting is dat dit zo blijft. De Amerikaanse en
18 t i j d s c h r i f t
i t
Chinese regering bespioneren elkaar niet openlijk, maar ook niet stiekem. Ook bedrijven zijn het doelwit om intellectuele eigendommen in handen te krijgen en de concurrentiepositie van een land te verbeteren. Het bestaan van PRISM werd vorig jaar onthuld, een geheim spionageprogramma dat de NSA toegang geeft tot alle data van Google, Facebook, Apple en andere Amerikaanse internetbedrijven. Maar ook dichter bij huis werd spionage uit de schaduw getrokken: het Belgische Belgacom bleek lange tijd bespioneerd door de Britten. Ook klokkenluider Edward Snowden bracht een en ander aan het licht. Nog lang niet alle door hem geleverde informatie is gepubliceerd, dus de verwachting is dat meer schandalen zullen volgen. Niet alleen overheden spioneren. Enkele leveranciers van IT-securityproducten hebben al melding gemaakt van criminele organisaties die ‘Cyber Espionage as a service’ leveren. Trend 4: Ook met beveiliging vatbaar Voorkomen is beter dan genezen. Maar ook met tal van beveiligingsmaatregelen op hun plaats, blijven organisaties vatbaar voor een cyberaanval. Hackers worden steeds vindingrijker en gaan specifiek op jacht naar dat ene niet afgedekte plekje – bijvoorbeeld een router die nog is ingesteld op het fabriekswachtwoord – van waaruit men de boel kan saboteren of bespioneren. Dat kan ook via een leverancier van het uiteindelijke doelwit. Steeds vaker zetten de cybercriminelen ‘ransomware’ in, waarbij de pc of gegevens in gijzeling worden genomen. Betalen van losgeld lost het probleem nooit op. Het is uiteraard wel verstandig om het cybercriminelen zo lastig mogelijk te maken. Cybersecurity is volgens de onderzoekers van TNO gelukkig steeds vaker een item op de agenda van het management. Het NCSC en de politie voeren campagnes om het bewustzijn van de gevaren te vergroten en Nederland weerbaarder te maken. Zo is er een speciale
m a n a g e m e n t
website waar men melding kan maken van ransomware. Wat volgens deze partijen in basis geregeld hoort te zijn bij elk bedrijf: ict-systemen patchen en updaten wanneer mogelijk, en een goed wachtwoordbeleid. Trend 5: IoT maakt kwetsbaar Nederlanders gebruiken tegenwoordig een desktop-pc, laptop, tablet én een smartphone. En dat zijn niet de enige intelligente producten die zij gebruiken; een gemiddeld huishouden beschikt over tien tot dertig apparaten (elk met een eigen IP-adres) die in contact staan met internet. Slimme televisies, NAS-apparatuur, camera’s, auto’s, smartwatches en energiemeters maken deel uit van het Internet of Things (IoT). Daar komt steeds meer apparatuur bij; zo bestaan er al bubbelbaden die je van een afstand kunt laten vollopen, en intelligente wasmachines en vriezers. Via BYOD is deze grote diversiteit aan apparatuur soms
Steeds vaker zetten cybercriminelen ‘ransomware’ in ook weer verbonden met bedrijfsdata. Nu zijn de meeste gebruikers geen security-expert en maken ze fouten, zoals hetzelfde wachtwoord toepassen op meerdere apparaten. Sterker nog, de meeste gebruikers zijn helemaal niet geïnteresseerd in beveiliging. De security wordt vooral gezien als irritant obstakel. Dat terwijl transacties – in welke vorm dan ook – in toenemende mate digitaal plaatsvinden via deze diverse devices. Dit maakt privépersonen en organisaties kwetsbaar voor de onderwereld van cyberspace.
❉
FROM A SPARK OF INSPIRATION TO A WILDFIRE OF INNOVATION. Verizon technology and solutions do more than revitalize organizations. From helping manufacturers with solutions that enhance structural comfort and safety, to improving financial services systems that promote a healthier economy, they enrich people’s lives. See how Verizon is leading innovation that touches you at verizon.com/enterprise.
© 2012 Verizon. All Rights Reserved.
“Public, Private of Hybrid Cloud,
wat is uw ideale combinatie?”
Uw organisatie eist dat u flexibel met de hostingcapaciteit van applicaties omgaat. Data moet overal en altijd beschikbaar zijn. De cloud maakt dit mogelijk… zegt men. Maar hoe zorgt u ervoor dat u de juiste keuzes maakt? Welke data en applicaties host u in de cloud? En welke juist niet omdat deze bedrijfskritisch zijn of niet in het buitenland mogen staan? En hoe richt u daar de juiste infrastructuur voor in waarbij al uw applicaties perfect blijven werken en eerdere investeringen niet teniet worden gedaan? De reis naar de cloud gaat gepaard met veel vragen en uitdagingen. De adviseurs van Imtech ICT zijn als geen ander in staat u te helpen bij de keuze voor de juiste cloudcombinatie. Wilt u weten hoe de cloud uw organisatie optimaal kan ondersteunen? Mail me gerust voor een afspraak op
[email protected] of download nu de whitepaper op www.bring-it.nl/cloud. Imtech ICT:
The Dutch Cloud Masters
Erik Lenten Technology Officer Imtech ICT Communication Solutions
research
tekst: Henny van der Pluijm
Gevolgen ‘datalekken’ in farmasector overdreven De farmaceutische sector ontkent collectief het bestaan van informatierisico´s, zo kopte een recent persbericht van de Amerikaanse ITbeveiliger Iron Mountain. Dit zou de conclusie zijn van een grootschalig onderzoek dat in opdracht van het bedrijf werd uitgevoerd door PricewaterhouseCoopers (PwC). Voor het rapport Beyond Awareness: the growing urgency for data management in the European mid-market ondervroeg PwC een groot aantal senior managers bij 600 Europese bedrijven van 250 tot 2.500 medewerkers. Het persbericht van Iron Mountain dat hierover werd verspreid, is echter verwarrend. Zo valt in de samenvatting te lezen: ‘de farmaceutische sector ontkent collectief het bestaan van informatierisico´s’, en ook: ‘weliswaar heeft 90% van de bedrijven informatiebeleid ontwikkeld, maar slechts 47% neemt de moeite te controleren of dit werkt en wordt nageleefd.’ Raar verhaal. Eerst wordt gesuggereerd dat informatiebeleid alleen draait om informatierisico’s, althans om het uitsluiten en beheersen daarvan. Dan blijken voor het onderzoek managers uit vijf verschillende sectoren te zijn geïnterviewd – naast de farmasector ook de juridische sector,
de productiesector, de verzekeringssector en de ‘technologiesector’. Op de situatie in deze sectoren gaat het mediabericht echter niet in. Het bericht richt zich uitsluitend op de sector waar volgens Iron Mountain de situatie het ‘slechtste’ is. Daar bestaat immers de meeste behoefte aan beveiligingsoplossingen - die Iron Mountain levert. Het bericht noemt het ‘zorgelijk’ dat 35 procent van de farmaceutische bedrijven datalekken en dataverliezen beschouwt als onvermijdelijk onderdeel van de dagelijkse bedrijfsvoering. Er wordt gewaarschuwd voor verlies of beschadiging van vertrouwelijke informatie, waarmee organisaties zichzelf en ‘hun klanten’ in gevaar zouden brengen. Volgens IronMountain is zelfgenoegzaamheid ‘de echte bedreiging’. Wie het rapport zelf leest, komt echter opmerkelijke informatie tegen. Zo bekleedt Nederland de hoogste positie van de zes onderzochte Europese landen op de zogenoemde ‘Information Risk Maturity Index’, PwC’s graadmeter voor het beheer van informatierisico’s. Het gaat dus best goed. Even opmerkelijk is dat de farma, waar het mediabericht op focust, het beter blijkt te doen dan de verzekeringswereld. Sterker nog, de farmasector wordt in
het 24 pagina’s tellende rapport alleen in een tabel genoemd. Iron Mountain zal vast cijfers hebben die níét in het rapport worden vermeld, maar grosso modo lijkt het alarmerende mediabericht weinig meer dan het gebruikelijke selectieve winkelen in rapporten van ingehuurde consultancyclubs om zo de perceptie van potentiële klanten in te kaderen. De 152 euro schade per hoofd van de bevolking die per datalek worden opgevoerd – de focus wordt ineens verlegd naar de burger, blijkbaar probeert het mediabericht ook Den Haag te bereiken – en het in één adem noemen van een stijging van het aantal datalekken met 50 procent per jaar: het is creativiteit met cijfers. De IT-manager kan weinig met het verhaal. Risico’s zijn vooral een kwestie van perceptie terwijl het doel van IT in een organisatie niet het uitsluiten van elk denkbaar risico is, maar het faciliteren van organisatieprocessen. Daarbij staat een gezonde exploitatie boven alles. Het risico van overinvesteren in beveiligingskwesties staat zo’n gezonde exploitatie in de weg.
❉
Henny van der Pluijm is journalist.
a u g u s t u s
2 0 1 4
21
thema security
De rol van de IT-manager als het om security gaat:
Visie en overzicht gevraagd Om de security-uitdagingen het hoofd te bieden, blijken IT-beheerders met name naar hun management te kijken. Volgens 63,2 procent van de respondenten van een recent onderzoek, moet security daar nóg hoger op de agenda komen. Terwijl de IT-beheerder het technisch allemaal aan zou moeten kunnen, is er voor de IT-manager een andere rol weggelegd als het om modern securitymanagement gaat. Wat moeten IT-managers weten om hun personeel beter te kunnen aansturen op dit vlak?
H
et merendeel van de Nederlandse IT-beheerders (77,5 procent) vindt het steeds moeilijker om zijn organisatie te beschermen tegen cybercriminaliteit. De belangrijkste redenen hiervoor zijn de groeiende complexiteit van aanvallen (zoals DDoS-aanvallen) en de groei van BYOD. Wanneer een bedrijf slachtoffer zou worden van een DNS-aanval, zegt meer dan de helft te vrezen voor grote gevolgen voor de dagelijkse gang van zaken. Wellicht nog opmerkelijker is dat bijna vier procent geen idee heeft wat er dan zou gebeuren. Dat blijkt uit onderzoek op de Nederlandse editie van Infosecurity. Er is verschil tussen grotere en kleinere bedrijven. Bij grote bedrijven is men zich vaak voldoende bewust van de gevaren en wordt de beveiliging naar behoren ingericht. Managers spelen hiermee eerder een stimulerende dan een beperkende rol. Als je kijkt op welke budgetten daar wordt bezuinigd, is security een van de laatste posten. In de wat kleinere bedrijven gaat het er echter anders aan toe. Daar is nog wel iets te winnen. Om te bepalen wat en hoe is het van belang eerst naar de achtergrond van de gevaren te kijken.
22 t i j d s c h r i f t
i t
Aard van de aanval
We zien steeds vaker DDoS-aanvallen waarbij een heel netwerk platgelegd kan worden. Een andere soort aanval is gericht op een specifieke server of een bepaalde applicatie. Steeds vaker gaat het om een combinatie van aanvallen. Zo kan er op netwerkniveau een DDoSaanval plaatsvinden, terwijl op een hoger niveau een applicatie het te verduren krijgt. Zo’n aanval kan data weghalen of ongewenste services toevoegen. En omdat de meeste aandacht dan naar de grote DDoS-aanval gaat, blijft de gerichte applicatie-aanval zijn schade aanrichten zonder dat iemand het doorheeft. Het is dan ook van belang die veranderende aanpak te onderkennen. Dit nieuwe type aanval houd je ook niet tegen met een firewall, die voornamelijk netwerkverkeer controleert. Het is een prima middel voor traditionele aanvallen, maar de modernere aanvallen zijn gericht op een applicatie. Als dat middels normaal http- of https-webverkeer gebeurt, gaat dat gewoon door een firewall heen. Er is behoefte aan een overkoepelende en samenhangende beveiligingsstrategie. Veel bedrijven houden vast aan
m a n a g e m e n t
point-solutions die an sich prima werk leveren, maar voor het grotere geheel tekortschieten. De samenwerking tussen die verschillende oplossingen is gebrekkig, en daar profiteert de aanvaller van.
Rol van IT-manager
Terwijl de IT-beheerder het technisch allemaal aan zou moeten kunnen, is er voor de IT-manager een andere rol weggelegd in het moderne securitylandschap. Los van de gegevens die mogelijk verloren gaan en de uitval van systemen die de productiviteit schaadt en omzet doet dalen, is er tegenwoordig ook veel media-aandacht voor aanvallen op bedrijven. Reputatieschade is dus ook een belangrijk punt van aandacht. Daarnaast is het zaak voor het IT-management om ook zelf voeling te houden met de technologische stand van zaken en hoe leveranciers daar op inspelen. Het is ten eerste van belang om te weten wat de bestaande oplossingen kunnen bieden, ten tweede hoe verschillende leveranciers gezamenlijk een sterkere oplossing kunnen bieden en ten slotte om beter te kunnen inschatten welke beheertaken in huis moeten blijven dan wel uitbesteed kunnen worden.
➼
tekst: Jaak Cuppens
a u g u s t u s
2 0 1 4
23
thema datacenters
Het komt vaak voor dat door consolidatie van technologie en oplossingen grotere besparingen zijn te realiseren dan in eerste instantie gedacht. Naast een beter kostenplaatje levert een samenhangende toepassing beter inzicht in de infrastructuur en dus in de security-issues. Op die manier is beter te bepalen wat met een bepaalde transactie moet gebeuren, en kan men in geval van een incident een veel betere correlatie maken van de verschillende stappen in die bepaalde transactie, ten behoeve van forensisch onderzoek. Met andere woorden, hoe beter men de context verstaat, hoe beter men gewapend is om aan de verwachtingen van de business te kunnen voldoen, en om snel en efficiënt te kunnen reageren op de steeds veranderende beveiligingsbehoeften. Dat geldt zowel op applicatieniveau als op het ‘traditionele’ netwerkniveau.
Cruciale componenten worden te vaak onderschat of geminimaliseerd wegens budgetrestricties Strategisch bewustzijn
Naast technische kennis is het van belang bewust te zijn van de aanwezige resources en gebruikers. IT-management moet niet alleen weten wat er beschikbaar is aan technologie, maar met name ook hoe deze kan bijdragen aan een IT-infrastructuur die beantwoordt aan de businessbehoeften. Bovendien moet op managementniveau duidelijk zijn of er (extra) voorzieningen getroffen dienen te worden voor een goede implementatie en onderhoud, en of beheerders en gebruikers de toepassingen correct en effectief kunnen en willen inzetten. Bij dat laatste komen aspecten als opleidingen, procesbeschrijving, verantwoordelijkheden, changemanagement, preproductie en lab/demoomgevingen aan de orde. Dit zijn
24 t i j d s c h r i f t
i t
cruciale componenten in een effectieve IT-infrastructuur, maar worden te vaak onderschat of geminimaliseerd wegens budgetrestricties. Het is van groot belang dat IT-managers dit alles vanaf de aanvang van een project meenemen in de doelstellingen en budgetten. Naar beheerders toe gaat dit vooral over kennisoverdracht, zowel theoretisch als praktisch, en dus een goede combinatie van opleidingen en services tijdens implementatie en evaluatie. Naar de gebruikers toe is het van belang hen in te lichten over de implementatie, beoogde doelen en de consequenties hiervan op hun manier van werken; een goed begrip vergroot het gebruik en de acceptatie van de oplossing en de gebruikerstevredenheid. Ook de inkopers hebben hier zeker een rol in tijdens het aankoopproces.
Vijf praktische take-aways
Recente incidenten laten zien dat de traditionele manier van beveiligen niet meer voldoet. Bescherming tegen een bepaald soort aanval of aanvaller werkt niet meer. Bedrijven moeten zich verdedigen tegen verschillende soorten risico’s die simultaan worden afgevuurd. Het devies luidt de beveiliging zo sterk en uitgebreid mogelijk maken, om in staat te zijn de schade van een aanval te beperken. Hieronder vijf aandachtspunten.
1
Leg de prioriteiten van werknemers vast. De eerste stap in de beveiliging van een bedrijf is bepalen wat echt belangrijk is. Waar zijn de medewerkers mee bezig, met welke apparatuur en toepassingen wordt gewerkt en vanaf welke plek? Dit inzicht maakt gerichte bescherming mogelijk en zorgt ervoor dat duidelijk is waar de cruciale plekken zitten.
2
Een firewall is niet (meer) voldoende. Een firewall bood voorheen enige bescherming, maar de aard van de risico’s is veranderd. Een DDoS-aanval is gericht op applicaties op computers; een firewall zal hier nauwelijks van invloed op zijn, terwijl een succesvolle aanval veel schade kan aanrichten. Een nieuw risico vraagt om een nieuwe aanpak.
m a n a g e m e n t
3
De cloud biedt ook kansen voor hackers. Steeds meer applicaties worden naar de cloud verplaatst om inmiddels bekende redenen. Als dat gebeurt, is het van belang dat achterdeuren goed gesloten blijven. Kan de bestaande beveiliging ook een cloudmodel aan? Vaak zijn er slimmere systemen voor nodig om dat te garanderen. Het betekent ook dat IT-managers in staat moeten zijn de beveiliging van eigen data naar eigen wens in te richten en aan te passen. Ongeacht de locatie van een smartphone of laptop.
4
Waar zijn de mobiele werkers? In geval van flexwerkers of mobiele werkers is het van belang de beveiliging contextueel in te richten. Dat wil zeggen dat het mogelijk is om te bepalen welk apparaat wordt gebruikt, waar dit apparaat zich bevindt en wie er achter de knoppen zit. Op basis van die informatie kan dan een juiste beslissing worden genomen. Als een medewerker vanaf zijn eigen laptop met up-to-date beveiliging via een veilige verbinding werkt, is er niets aan de hand. Die mogelijkheden zijn te beperken (bijvoorbeeld alleen lezen) als een update niet is doorgevoerd of de verbinding twijfelachtig is.
5
Identificeer de aanvaller. Dit staat in het teken van kleinere DDoS-aanvallen. Over het algemeen zullen die bestaan uit een stortvloed aan data en verbindingspogingen op een of meerdere IP-adressen bij een doelwit. Het is belangrijk om te beseffen dat een aanval zelf niet te voorkomen is. Wel zijn de gevolgen te beperken door een passende oplossing te implementeren die ook kan meegroeien als de aanvalsintensiteit toeneemt. We moeten blijven proberen de kwaadwillenden voor te blijven, om zo de schade zoveel mogelijk te beperken. Bedrijven van alle groottes moeten hier rekening mee houden. Zo niet, dan loert het risico vroeg of laat een tijdlang offline te zijn.
Jaak Cuppens is Manager Channel Sales North East Emea bij F5 Networks.
❉